Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน พบการแพร่กระจายมัลแวร์ผ่านอีเมล โจมตีคนไทย อ้างชื่อไวรัสโคโรน่าและกระทรวงสาธารณสุข

เมื่อวันที่ 6 มีนาคม 2563 ไทยเซิร์ตได้รับรายงานการแพร่กระจายมัลแวร์ผ่านอีเมลโดยอ้างว่ากระทรวงสาธารณสุขส่งข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่า ชื่อผู้ส่งอีเมลถูกปลอมว่าส่งมาจาก no-reply@moph.go.th หัวข้ออีเมลคือ "Fwd: Re:ข้อมูลด่วน CoronaVirus" เนื้อหาในอีเมลเป็นภาษาไทยแต่ลักษณะคล้ายเป็นการใช้โปรแกรมแปลภาษา ในอีเมลมีการแนบโลโก้ของสถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้ของกระทรวงสาธารณสุข พร้อมกับมีไฟล์แนบชื่อ "กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz"

ตัวไฟล์ .gz นี้แท้จริงแล้วเป็นไฟล์ .rar เมื่อ extract ข้อมูลออกมาจะพบไฟล์ชื่อ “กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe” เมื่อรันไฟล์ดังกล่าวจะมีการสร้างไฟล์เหล่านี้ลงในเครื่อง

  • C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FileHistory.url
  • C:\Users\[User]\FileHistory\FileHistory.vbs
  • C:\Users\[User]\FileHistory\msdt.exe (มีค่า hash เดียวกันกับไฟล์ "กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe")

หลังจากสร้างไฟล์เหล่านี้เสร็จจะมีการเรียกสคริปต์ FileHistory.vbs เพื่อสั่งรันไฟล์ msdt.exe อีกทีหนึ่ง

จากการวิเคราะห์ ไฟล์ msdt.exe มีพฤติกรรมเข้าข่าย backdoor โดยมีความสามารถในการรวบรวมข้อมูลของเครื่อง ติดต่อรับคำสั่งจากเซิร์ฟเวอร์ภายนอก สั่งรันโปรแกรม ถ่ายโอนไฟล์ผ่าน FTP ฝังตัวเองเข้าไปยัง process อื่น (hooking และ process injection) และมีความพยายามหลบเลี่ยงเครื่องมือวิเคราะห์มัลแวร์ (แอนติไวรัสหลายยี่ห้อเริ่มตรวจจับว่าไฟล์นี้เป็นสายพันธุ์หนึ่งของมัลแวร์ NanoBot) ทั้งนี้ ตัวมัลแวร์ถูกคอมไพล์เมื่อวันที่ 5 มีนาคม 2563 เวลา 04:01 ตามเวลาในประเทศไทย

ข้อแนะนำเบื้องต้น

  • สำหรับผู้ใช้ทั่วไป หากได้รับอีเมลในลักษณะดังกล่าวไม่ควรเปิดไฟล์แนบ และควรแจ้งรายงานให้กับผู้ดูแลระบบทราบ หากเผลอเปิดไฟล์ไปแล้วควรปิดเครื่องและแจ้งผู้ดูแลระบบทันทีเพื่อตรวจสอบและยับยั้งความเสียหาย
  • สำหรับผู้ดูแลระบบ ควรตรวจสอบว่ามีการส่งอีเมลลักษณะนี้มาที่หน่วยงานหรือไม่ หากพบให้รีบดำเนินการลบอีเมลดังกล่าวทันที และพิจารณาข้อมูล IOC ด้านล่างเพื่อยืนยันความผิดปกติบนระบบเครือข่าย หากพบการเชื่อมต่อที่ต้องสงสัย ควรปิดกั้นการเชื่อมต่อของคอมพิวเตอร์ดังกล่าวออกจากระบบเครือข่ายเป็นการชั่วคราว เพื่อให้ผู้ดูแลระบบเข้าดำเนินการตรวจสอบและรับมือสถานการณ์

ข้อมูล IOC ของไฟล์มัลแวร์

กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz

  • MD5: 94c4c09711c06303b9b107f6254646f3
  • SHA1: 4008eec5413e2cf20bb1d6d039d027fdab6e0283
กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe
  • MD5: ad1644a3737af0b84826be11708c437d
  • SHA1: bda2e2ba4e4deb14b27fb6e52f255dfebf7bdbfa

ข้อมูล IOC ของการเชื่อมต่อเครือข่าย

โดเมนเนม

  • 2020logs.duckdns.org
  • alili2020.ddns.net
ไอพีแอดเดรส:พอร์ต
  • 192.169.69.25:5626

วันที่: 2020-03-06 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+

Clear